Developpez.com

Le Club des Développeurs et IT Pro

Google révèle une faille touchant Windows 8.1, qui permet une élévation de privilèges,

Alors qu'un correctif n'est pas encore disponible

Le 2015-01-02 12:36:49, par Hinault Romaric, Responsable .NET
Un chercheur de Google a publié des détails sur une faille dans le système d’exploitation Windows 8.1 (32 et 64 bits), pouvant entrainer une élévation de privilèges.

La faille se trouve au niveau de « ahcache.sys/NtApphelpCacheControl », une fonction interne de Windows. En cas d’exploit, un pirate pourrait se retrouver en train d’exécuter certains programmes avec des droits d’administrateur.

Un porte-parole de Microsoft a reconnu l’existence de la faille. La firme travaille actuellement sur un correctif qui pourrait être disponible avec le premier Patch Tuesday de 2015 pour Windows. La firme limite cependant la portée de la faille. « Il est important de noter que pour qu’un pirate puisse exploiter cette faille sur un système affecté, il devrait disposer d’informations d’identification valides et être en mesure de se connecter localement à la machine ciblée », rassure le porte-parole de Microsoft. « Nous encourageons les clients à garder leur logiciel d’antivirus à jour, à installer les mises à jour de sécurité disponibles et à maintenir le pare-feu actif sur leur ordinateur. »

Il semblerait que la firme ait été prise au dépourvu par la mise à la disposition du public des informations sur cette faille, alors qu’un correctif n’est pas encore disponible.

La faille a été découverte le 30 septembre par l’ingénieur de Google du nom de Forshaw et est répertoriée suivant la politique « Google Project Zero », qui autorise la divulgation d’une faille 90 jours après sa découverte. « Ce bogue est soumis au délai de divulgation de 90 jours. Si les 90 jours s’écoulent sans qu’un correctif ne soit largement disponible, alors le rapport de bogue sera automatiquement visible du grand public », note Forshaw à la fin du dossier sur la faille. Rien ne précise cependant que Microsoft ait été alerté.

La preuve de faisabilité (PoC) qui a été publiée comprend deux fichiers exécutables et un ensemble d’instructions permettant de lancer la calculatrice Windows en tant qu’administrateur. Selon Forshaw, elle ne se trouverait pas au niveau de l’UAC (Contrôle de compte d'utilisateur ), mais celui-ci est utilisé en partie dans la preuve de faisabilité de la faille.

Le PoC a été exécuté sur Windows 8.1, dans les versions 32 et 64 bits. Il n’est pas certain que les autres versions du système d’exploitation soient affectées.

Source : Google Code

Et vous ?

Que pensez-vous du choix de Google de rendre publique la faille alors qu’un correctif n’est pas encore disponible ?
  Discussion forum
131 commentaires
  • cbleas
    Membre éprouvé
    quand est ce que que Google va utiliser ses chercheurs pour sécuriser android?
    le 02/01/2015 à 16:51
  • vanskjære
    Membre averti
    Il faut avouer que 90 sans correctif laisse un doute sur le fait que Microsoft ai été contacter par rapport à cette découverte.
    Le fait que maintenant google est concurrent avec son chromeOS, on a de quoi est suspicieux.
    le 02/01/2015 à 15:03
  • 23JFK
    Membre expert
    Envoyé par Chauve souris
    Si j'ai bien compris la réponse de Krosoft il faut se connecter localement pour exploiter cette faille. Donc devant le PC ou un LAN. C'est quand même très limité comme risque AMHA.

    Quand j'étais étudiant, il ne m'en a pas fallu plus pour m'inviter dans le système administratif de ma fac.
    le 02/01/2015 à 16:19
  • myNameIsFlo
    Membre habitué
    Microsoft a demandé d'attendre 2 jours. Ce que google n'a pas fait pour l'emmerder. Ils sont concurrents ou pas?

    Concernant, les remarques que Microsoft a les moyens. . .
    Ce n'est pas une question de moyens mais de complexité. 90 jours pour corrigés un OS tel que Windows sur une faille complexe, c'est peu

    Dans ma 'petite' entreprise, les clients attendent souvent 10 jours pour une correction sur un logiciel pas forcément complexe et payé un 'peu' plus que 100€. Personne ne se plaint.

    Je ne suis pas pour ou contre mais il faut remettre les choses dans leur contexte (bande de français râleur
    le 13/01/2015 à 13:18
  • imikado
    Rédacteur
    Envoyé par typoli
    Woow, c'est bon tu m'as saoulé, je change de moteur de recherche pour testé bing + effacement de toutes mes adresses e-mail gogol, direction outlook et go https://www.bing.com/translator/ et je vous em**** .

    Adios Google.

    PS: Bon j'avoue que google a fait fort pour la calculette en ligne :/ j'espère que MS va le dépasser aussi sur ce coup.
    En plus le logo de bing est hachement plus beau que ton logo éponyme tout vieux.
    Vous faites ce que vous voulez, je ne travaille pas pour Google

    Mais je trouvais ironique de dire que d'un coté Google était des méchants car ils publiaient officiellement une faille dont ils avaient prévenu 90j
    mais de l'autre Microsoft était des gentils alors qu'ils avaient carrément ouvert une boutique pour vendre des produits discréditant Google, et là je ne parle même pas du racket android
    le 05/01/2015 à 15:48
  • Pierre GIRARD
    Expert éminent
    Envoyé par Hinault Romaric
    ...Pour Microsoft, il est préférable de travailler de façon concerter et attendre qu’un correctif soit disponible avant de divulguer publiquement la faille.
    Attendre pendant combien de temps si 3 mois ne suffisent pas ? 6 mois ? 1 an ? 10 ans ?

    Qui prouve par ailleurs qu'une telle faille ne puisse pas être trouvée avant Google et d'autres ... et que quand Google informe µSoft il n'y ait pas déjà en cours une exploitation de cette faille. Il y a effectivement URGENCE absolue pour la correction d'une faille. Toutes les ressources DOIVENT y être consacrées ... même si du coup, ça retarde la sortie de Windows 10 (par exemple).

    Il semble que dans ces deux cas, µSoft consacre plus d'énergie au futur OS qu'à corriger les anciens. Résultat : Google peut se faire le plaisir de leur botter le cul.
    le 16/01/2015 à 12:38
  • Zirak
    Inactif
    Je ne sais même pas pourquoi vous vous acharnez à répondre à l'autre troll qui transpire la mauvaise foi par tous les pores de sa peau (et qui en plus, troll comme un élève de CP écrivant un sms) ??

    Microsoft pourrait sacrifier des enfants en l'honneur de Bill Gates, qu'il leur lancerait encore des fleurs...

    Il est tellement de mauvaise foi, que même quand Microsoft fait de la merde (comme toutes les boîtes, ça leur arrive), il arrive à nous dire que finalement c'était une bonne chose.

    Oui aucune société n'est parfaite, que cela soit Microsoft, Apple, Google ou autres, maintenant, la news parle d'un problème chez Microsoft, pas des autres.

    Si tu veux dire du mal des autres aussi GHetfield, pour que cela soit plus "équitable", va troll directement les news qui parlent des problèmes rencontrés chez les concurrents.
    le 19/01/2015 à 11:00
  • Traroth2
    Membre émérite
    Envoyé par Lutarez
    1 mois pour la sortie du patch. Celui-ci existe déjà, c'est pas comme si MS avait regardé l'horloge tournée sans rien faire. Sur ce point, oui, Google est irresponsable, car il va mettre en danger tous les utilisateurs de Windows alors que le patch existe. Quelle genre de pression est-ce là ?

    En fait, c'est Microsoft qui met en danger ses utilisateurs en ne corrigeant pas suffisamment rapidement les failles. Il est parfaitement possible que celle-ci soit déjà exploité. Les pirates ont la fâcheuse tendance à ne pas publier un communiqué quand ils développent un malware exploitant une faille.

    C'est pour cette raison que je comprends parfaitement que Google impose un délai maximum avant de publier la faille quoi qu'il arrive. Microsoft a déjà un sacré passif de failles corrigées très tardivement.
    le 19/01/2015 à 15:22
  • expertsecu
    Inactif
    Envoyé par Haseo86
    (parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça).
    Ils feraient comment?
    le 25/01/2015 à 1:47
  • Pierre GIRARD
    Expert éminent
    Envoyé par GHetfield
    ...Maintenant t'es pas obliger de lire...
    Malheureusement, on est bien obligés de lire les délires de certains si on veux suivre sérieusement un sujet. On en est déjà à deux page de pollution depuis que t'as lancé ton Troll.

    D'où ma question "T'en n'as pas marre de raconter des âneries ?"
    le 18/01/2015 à 20:26
  Poster une réponse